Seguindo a linha do último artigo, outra peça importante em qualquer ambiente é um centralizador de logs, principalmente para auditoria e rastreamento de usuários.
Uma excelente opção é o Splunk. Na sua versão free, é possível indexar 500MB de logs diários, o que é bastante pra qualquer ambiente. Apesar desta limitação, essa quantidade de dados é suficiente para atender grande parte dos ambientes que conheço.
Como medida de comparação, já vi ambientes com mais de 1000 servidores utilizando essa versão gratuita do Splunk para registrar apenas a autenticação de usuários nos servidores (AUTHPRIV do syslog), não atingindo nem 10% da sua capacidade diária.
Porém, na minha visão, a grande limitação desta versão gratuita é a falta de autenticação no acesso à sua console de gerenciamento e busca. Como não existe autenticação, qualquer usuário que conheça a URL de acesso poderá manipular os logs já coletados, inclusive apagar completamente o que já foi indexado.
A solução que encontrei para contornar essa situação foi incluir uma autenticação do Apache com SSL na frente do Splunk através de um proxy, junto com algumas configurações adicionais no próprio Splunk.
